Suche senden
Hochladen
Построение защищенного Интернет-периметра
•
0 gefällt mir
•
4,498 views
Cisco Russia
Folgen
Technologie
Melden
Teilen
Melden
Teilen
1 von 154
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?
Aleksey Lukatskiy
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Cisco Russia
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасности
Aleksey Lukatskiy
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м году
Aleksey Lukatskiy
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
Aleksey Lukatskiy
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VI
Aleksey Lukatskiy
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Cisco Russia
Empfohlen
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?
Aleksey Lukatskiy
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Cisco Russia
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасности
Aleksey Lukatskiy
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м году
Aleksey Lukatskiy
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
Aleksey Lukatskiy
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VI
Aleksey Lukatskiy
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Cisco Russia
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Aleksey Lukatskiy
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Cisco Russia
You are hacked? How contact with press?
You are hacked? How contact with press?
Aleksey Lukatskiy
Информационная безопасность и фактор времени
Информационная безопасность и фактор времени
Aleksey Lukatskiy
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Cisco Russia
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Aleksey Lukatskiy
Требования ИБ для бирж
Требования ИБ для бирж
Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Киберучения
Киберучения
Aleksey Lukatskiy
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Aleksey Lukatskiy
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Aleksey Lukatskiy
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
Aleksey Lukatskiy
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
Криптография в Интернете вещей
Криптография в Интернете вещей
Aleksey Lukatskiy
10 лучших практик иб для гос
10 лучших практик иб для гос
Sergey Borisov
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?
Aleksey Lukatskiy
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Cisco Russia
Принципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОД
Cisco Russia
Weitere ähnliche Inhalte
Was ist angesagt?
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Aleksey Lukatskiy
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Cisco Russia
You are hacked? How contact with press?
You are hacked? How contact with press?
Aleksey Lukatskiy
Информационная безопасность и фактор времени
Информационная безопасность и фактор времени
Aleksey Lukatskiy
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Cisco Russia
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Aleksey Lukatskiy
Требования ИБ для бирж
Требования ИБ для бирж
Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Киберучения
Киберучения
Aleksey Lukatskiy
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Aleksey Lukatskiy
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Aleksey Lukatskiy
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
Aleksey Lukatskiy
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
Криптография в Интернете вещей
Криптография в Интернете вещей
Aleksey Lukatskiy
10 лучших практик иб для гос
10 лучших практик иб для гос
Sergey Borisov
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?
Aleksey Lukatskiy
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
Was ist angesagt?
(20)
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
You are hacked? How contact with press?
You are hacked? How contact with press?
Информационная безопасность и фактор времени
Информационная безопасность и фактор времени
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Требования ИБ для бирж
Требования ИБ для бирж
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Киберучения
Киберучения
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Криптография в Интернете вещей
Криптография в Интернете вещей
10 лучших практик иб для гос
10 лучших практик иб для гос
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Andere mochten auch
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Cisco Russia
Принципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОД
Cisco Russia
Архитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
Aleksey Lukatskiy
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Russia
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)
Cisco Russia
Принципы построения кампусных сетей для внедрения тонких клиентов VDI.
Принципы построения кампусных сетей для внедрения тонких клиентов VDI.
Cisco Russia
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Cisco Russia
Ежегодный отчет Cisco по безопасности
Ежегодный отчет Cisco по безопасности
Cisco Russia
Новое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего класса
Cisco Russia
Andere mochten auch
(10)
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Архитектура и дизайн распределенной корпоративной сети высокой доступности.
Принципы построения катастрофоустойчивых ЦОД
Принципы построения катастрофоустойчивых ЦОД
Архитектура защищенного периметра
Архитектура защищенного периметра
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)
Принципы построения кампусных сетей для внедрения тонких клиентов VDI.
Принципы построения кампусных сетей для внедрения тонких клиентов VDI.
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Ежегодный отчет Cisco по безопасности
Ежегодный отчет Cisco по безопасности
Новое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего класса
Ähnlich wie Построение защищенного Интернет-периметра
Архитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
Aleksey Lukatskiy
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Cisco Russia
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
Cisco Russia
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
Применение концепций информационной безопасности в продуктах Cisco Unified Co...
Применение концепций информационной безопасности в продуктах Cisco Unified Co...
Cisco Russia
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
Обзор решения Prime Infrastructure 2.0.
Обзор решения Prime Infrastructure 2.0.
Cisco Russia
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»
Cisco Russia
iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
Cisco Russia
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Cisco Russia
Локализация производства продукции компании Cisco на территории России. Расши...
Локализация производства продукции компании Cisco на территории России. Расши...
Cisco Russia
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Expolink
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Expolink
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Expolink
Код безопасности. Иван Бойцов. "Как обеспечить комплексную защиту на 5-ти уро...
Код безопасности. Иван Бойцов. "Как обеспечить комплексную защиту на 5-ти уро...
Expolink
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Aleksey Lukatskiy
Сергей Панин (Leta) "Интеллектуальные средства безопасности Cisco"
Сергей Панин (Leta) "Интеллектуальные средства безопасности Cisco"
Expolink
Ähnlich wie Построение защищенного Интернет-периметра
(20)
Архитектура защищенного периметра
Архитектура защищенного периметра
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Применение концепций информационной безопасности в продуктах Cisco Unified Co...
Применение концепций информационной безопасности в продуктах Cisco Unified Co...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Обзор решения Prime Infrastructure 2.0.
Обзор решения Prime Infrastructure 2.0.
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»
iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Локализация производства продукции компании Cisco на территории России. Расши...
Локализация производства продукции компании Cisco на территории России. Расши...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Как обеспечить комплексную защиту на 5-ти уро...
Код безопасности. Иван Бойцов. "Как обеспечить комплексную защиту на 5-ти уро...
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Сергей Панин (Leta) "Интеллектуальные средства безопасности Cisco"
Сергей Панин (Leta) "Интеллектуальные средства безопасности Cisco"
Mehr von Cisco Russia
Service portfolio 18
Service portfolio 18
Cisco Russia
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Russia
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Russia
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Russia
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Russia
Cisco Umbrella
Cisco Umbrella
Cisco Russia
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco Russia
Cisco FirePower
Cisco FirePower
Cisco Russia
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco Russia
Mehr von Cisco Russia
(20)
Service portfolio 18
Service portfolio 18
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Umbrella
Cisco Umbrella
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco FirePower
Cisco FirePower
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Построение защищенного Интернет-периметра
1.
Построение защищенного Интернет-периметра Руслан Иванов Системный
инженер-консультант ruivanov@cisco.com
2.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public О чём пойдёт речь? • Из чего состоит Интернет-периметр? • Защита Интернет-пиринга • Размещение МСЭ и сегментация • Next-Generation Firewall • WEB безопасность и контентная фильтрация • Next-Generation IPS • Проверка зашифрованного SSL трафика • Безопасность Email • Защита от вредоносного ПО (Malware) • Идентификация пользователя и его аттрибуты • Анализ сетевого трафика • Локализация инцидентов и устранение угроз • Открытый код и различные утилиты 2
3.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Программа сессии как модель развития 3 Инфраструктура и протоколы Сетевой МСЭ МСЭ нового поколения IPS нового поколения Безопасность WEB и контентная фильтрация Мобильный и удаленный доступ SSL расшифровка и инспектирование Безопасность электронной почты Защита от вредоносного кода (AMP) Атрибутика пользователя Анализ сетевого трафика Реагирование на инциденты Открытый код и утилиты На каком этапе развития находится моя организация?
4.
Составные блоки Интернет
периметра
5.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Вспомним прошлое – Smart Business Architecture (SBA) 5
6.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Полный интернет и WAN периметр ISP-1 ISP-2 DMZ сети Интернет пиринг Удаленный доступ (VPN) Периметральный МСЭ WAN WAN периметр WAN Сервисы Внутренняя сеть Внутренняя сеть Внутренняя сеть Кампус 12
7.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Ориентированный на угрозы подход • Главная проблема это УГРОЗЫ. • Какие ценные ресурсы мне нужно защитить? – Интеллектуальная собственность, данные пользователей и заказчиков, – Сетевая и вычислительная инфраструктуры • Каковы возможные угрозы? – Внутренние и внешние, структурированные и неструктурированные • Как я обнаруживаю и блокирую возникающие угрозы? – Вот о чем пойдет речь на периметре Интернет • Каков мой подход к расследованию инцидентов? – Буду ли я ждать, когда проблемы проявятся сами? 7
8.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Начальный дизайн периметра для этой сессии 8 ISP-1 ISP-2 DMZ сети Интернет пиринг Удаленный доступ (VPN) Периметральный МСЭ Внутренняя сеть
9.
Связи интернет периметра
| Пиринг 9
10.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Интернет периметр – Пиринг 10 ISP-1 ISP-2 DMZ сеть Интернет пиринг Удаленный доступ (VPN) Периметральный МСЭ Внутренняя сеть Главные вопросы: 1. Моя сеть физически безопасна? – Доступ в оборудованию под контролем 2. Я понимаю свою сеть: – Имею дело со сложной инфраструктурой 3. Мои протоколы в безопасности? – Подсистема управления, контрольная и подсистема данных 4. Я знаю атакующего: – Цели и мотивы, защита от DDOS 5. Я знаю что делать: – Действия по отражению атак Мы здесь
11.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public “Зачем кому либо взламывать мой роутер?” 11 Enterprise Сеть mbehring Интернет FTP BRKSEC-2345 Critical Infrastructure Protection (2013 London) tunnel PBR2: от Сервера к PC à Next hop tunnel PBR1: от PC к серверу à Next hop tunnel FTP Сервер Клиент
12.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Принципы и процедуры физической безопасности • Обнаружение попыток захвата устройства – НУЖНО обнаружение логина авторизованного админа – НУЖНО обнаружение bruteforce SSH – НУЖНО обнаружение password recovery – НУЖНО обнаружение замены устройства (UDI) – НУЖНО проверять целостность устройства регулярно • OS, конфигурация, файловая система • Невозможность обнаружения прослушки (врезки) – НУЖНО защищать все протоколы контрольной подсистемы (BGP, IGP, LDP) – НУЖНО защищать все протоколы управления (SSH, SNMP) • Только атаки на подсистему данных доступны • После каждой перезагрузки, link- down событие, и т.д. – Устройство могло быть заменено; – Мог быть сделан Password recovery; – Проверить систему: • Unique Device Identifier (UDI), OS, конфигурацию, enable пароль • После неожиданного логина администратора: – Сменить пароль на этого админа; – Проверить систему: • OS, конфигурацию, enable пароль • Регулярно (Пример: раз в 24часа) – Проверка системы: • OS, конфигурацию, enable пароль 12 AAA server Скрипты Syslog server Вы могли пропустить событие!
13.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Проблемы нарушения целостности ПО сегодня Boot ROM ОС Конфигурация ЗАГРУЖАЕТ ИСПОЛЬЗУЕТ Уникальный идентификатор устройства (UDI) • Неправильная настройка • Отсутствие безопасности • Саботаж • Уязвимость протоколов • Уязвимость ОС • Rootkit • Физические атаки • Физические атаки
14.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Проблемы нарушения целостности ПО завтра 14 Boot ROM ОС с ЭЦП производителя Конфигурация с контрольной суммой ПРОВЕРКА НА КОРРЕКТНОСТЬ, ЗАГРУЗКА Сначала проверяем, потом используем Безопасный уникальный идентификатор устройства (SUDI) (802.1AR) Физически безопасно • SUDI дает глобально уникальную, безопасную идентификацию устройства – Защита от подмены • Безопасный процесс загрузки – Защита от подмены Boot ROM – Защита от изменения OS • Безопасные методы программирования – Уменьшает количество уязвимостей • Процедуры апгрейда http://standards.ieee.org/findstds/standard/802.1AR-2009.html
15.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Проверка целостности на Роутерах 15 Используйте команду verify /md5 привилегированного режима EXEC для проверки целостности образа IOS в файловой системе, также можно предоставить контрольный хэш для команды Router# verify /md5 sup-‐bootdisk: c7600rsp72043-‐advipservicesk9-‐mz.151-‐3.S3 .....<output truncated>.....Done! e383bf779e137367839593efa8f0f725 Router# configure terminal Router(config)# file verify auto Настройте file verify auto Cisco IOS функцию gdb *, test *, tlcsh *, service internal, attach *, remote *, ipc-‐con *, if-‐con *, execute-‐on *, show region, show memory *, show platform * Наличие следующих команд обязательно должно привести к расследованию. Символ звездочки * означает любой последующий текст. IOS поддерживает ЭЦП образов ОС на некоторых платформах. Верификация целостности и аутентичности бинарного файла командой show software authenticity file. http://www.cisco.com/web/about/security/intelligence/integrity-assurance.html Router# show software authenticity file c1900-‐universalk9-‐mz.SPA.152-‐4.M2 File Name : c1900-‐universalk9-‐mz.SPA.152-‐4.M2 Image type : Production Signer Information Common Name : CiscoSystems Organization Unit : C1900 Organization Name : CiscoSystems Certificate Serial Number : 509AC949 Hash Algorithm : SHA512 Signature Algorithm : 2048-‐bit RSA Key Version : A
16.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Проверка целостности на ASA Доступно с 9.3(2) релиза. Отобразить ЭЦП информацию относительно конкретного образа можно командой show software authenticity running в привилегированном режиме EXEC. Вывод показывает: • Имя файла в памяти. • Тип образа. • Информация подписи, включая: – common name, имя разработчика ПО. – organization unit, аппаратная платформа развертывания. – organization name, владелец образа ПО. • Серийный номер сертификата, который является номером сертификата для ЭЦП. • Алгоритм хеширования, который показывает тип алгоритма хеширования использованного для верификации ЭЦП. • Алгоритм подписи, идентифицирует алгоритм использованный для верификации подписи. • Версия ключа использованного для верификации. asa5506-‐X# show software authenticity running Image type : Development Signer Information Common Name : abraxas Organization Unit : NCS_Kenton_ASA Organization Name : CiscoSystems Certificate Serial Number : 5448091A Hash Algorithm : SHA2 512 Signature Algorithm : 2048-‐bit RSA Key Version : A Verifier Information Verifier Name : ROMMON Verifier Version : Cisco Systems ROMMON,1.0.16 ASAv# show software authenticity running Image type : Release Signer Information Common Name : abraxas Organization Unit : ASAv Organization Name : CiscoSystems Certificate Serial Number : 5476833D Hash Algorithm : SHA2 512 Signature Algorithm : 2048-‐bit RSA Key Version : A ROMMON Trust Anchor
17.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Ваша сеть физически безопасна? • Невозможно гарантировать физическую безопасность сети • Password recovery, замена устройства, sniffing, wiretaps, man-in-the-middle • Безопасные подсистемы контроля и управления • Безопасность подсистемы данных (IPsec) • Мониторинг изменения на устройствах (reload) • Проверка UDI (sh license udi) • Проверка корректности конфигурации устройства • Процедуры изоляции взломанных устройств • Процедуры возврата контроля над взломанными устройствами 17 Source: Jan Matejko, „Stańczyk” (1862)
18.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 18 Лучшие практики по защите IOS • Руководство Cisco по защите IOS Devices – Обезопасить операционные процедуры • Мониторинг Security Advisories • Использовать AAA, Централизованный сбор логов • Использовать безопасные протоколы – Подсистема управления (SSH, SNMP, NetFlow) • Отключить неиспользуемые сервисы, Password Security • Обезопасить сессии управления • Thresholding for Memory, CPU, Leaks • Management Plane Protection (MPP) – Контрольная подсистема (ICMP, BGP, RSVP) • Control Plane Policing (CoPP), Protection (CPPr), HW Rate-Limiters – Подсистема данных (продуктивный трафик) • Защита от спуфинга с помощью uRPF, IPSG, Port Security, DAI, ACLs • Traffic Access Control http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml
19.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Я понимаю мою сеть. Пример Cisco. • Офисы более чем в 100+ странах • 15 миллиардов потоков в день • 125,000 оконечных устройств • 150,000+ серверов всех типов • 40,000 роутеров • 1,500 лабораторий • 350 IPS сенсоров / 1.5M сигналов тревоги (alert) • 12 основных точек выхода в Интернет • Один CSIRT аналитик на каждые 7000 сотрудников 19 ОГРОМНАЯ СЛОЖНОСТЬ! „3D COMPLEXITY CUBE”
20.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Мои протоколы безопасны Перехват BGP префикса 10.200.1.1 AS20 AS10 AS100 AS60 AS50 AS30 AS200 20
21.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Отсутствие встроенной безопасности в BGP апдейтах (1/3) До 24th Feb’08 (UTC): AS36561 (YouTube) анонсирует 208.65.152.0/22. 2008 21
22.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 24th Feb’08, 18:47 (UTC): AS17557 (Pakistan Telecom) начинает анонс 208.65.153.0/24. PT’s вышестоящий провайдер AS3491 (PCCW Global) распространяет анонс дальше. Маршрутизаторы по всему миру получают анонс и весь трафик Youtube уходит в Пакистан Отсутствие встроенной безопасности в BGP апдейтах (2/3) 22 2008
23.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Отсутствие встроенной безопасности в BGP апдейтах (3/3) 24TH Feb’08, 21:23 (UTC): AS36561 анонсировал 208.65.153.0/24 с 20:07 (UTC). Фиктивный анонс от AS17557 (Pakistan Telecom) был убран, и RIS пиры теперь имеют маршруты только к AS36561 http://www.ripe.net/news/study-youtube-hijacking.html 23 2008
24.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 24 BGP Secure InterDomain Routing (SIDR) • Валидация между Enterprise и Сервис-провайдером важна, BGP полагается на транзитивную модель доверия • BGP спикер делает запрос в Базу Валидированных Префиксов, загружаемую с кеш-сервера • Resource Public Key Infrastructure (RPKI) кеш сервера производят аутентификацию BGP префиксов • BGP спикер удостоверяется что префикс пришел из нужной AS Периодическое Routing Registry RIPE, ARIN […] Service Provider Prefix ↔ AS Mapping cache BGP best path selection Аттестация Префикс принадлежит AS Верификация И кеширование Использовать Влиять на BGP политику IOS 12.2(1)S IOS XE 3.5 IOS XR 4.2.1 Удаленный репозитарий Локально кешированная база обновление
25.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Utilizing SIDR – Valid, Unknown, Invalid Routes 25 router bgp 64726 bgp always-‐compare-‐med bgp log-‐neighbor-‐changes bgp deterministic-‐med no bgp default ipv4-‐unicast bgp rpki server tcp 217.193.137.117 port 30000 refresh 60 bgp rpki server tcp 2001:918:FFF9:0:250:56FF:FE15:159 port 8282 refresh 60 bgp rpki server tcp 2001:918:FFF9:0:250:56FF:FE15:159 port 30000 refresh 60 bgp rpki server tcp 217.193.137.117 port 8282 refresh 600 neighbor 2001:428:7000:A:0:1:0:1 remote-‐as 64209 neighbor 2001:428:7000:A:0:1:0:1 description "Towards More Secure Future" ASR#show bgp sum BGP router identifier 66.77.8.142, local AS number 64726 BGP table version is 11688639, main routing table version 11688639 Path RPKI states: 38286 valid, 1574331 not found, 4558 invalid 404300 network entries using 59836400 bytes of memory 1617175 path entries using 103499200 bytes of memory RFC 6810 The Resource Public Key Infrastructure (RPKI) to Router Protocol. RFC 6811 BGP Prefix Origin Validation AS 64726 AS 64209
26.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Я знаю злоумышленника, он меня DDOS-ит сейчас 26 2014
27.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Внутренняя сеть Описание распределенного отказа в обслуживании (DDoS) • Атаки отказа в обслуживании имеют разную природу – Атаки уровня приложений • Отражаются средствами сетевой и хостовой безопасности • Блокируются NGFW, NGIPS, AMP и другими L7 технологиями ИБ – Объемные DDoS атаки • Должны обрабатываться на SP Edge или Core • Слишком поздно их блокировать на стороне Enterprise DC/DMZ • DDoS типы основанные на типе используемого трафика – L3/L4 атаки • ICMP Flood, TCP SYN, UDP Frag – Distributed Reflection DoS (DrDoS) Amplification attacks • DNS, NTP, CharGen, SNMP • UDP-Based, Подмена адреса источника, Усиление трафика в 500+ раз – L7 атаки • HTTP GET/POST, SIP, SSL 27 Мы здесь
28.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Варианты защиты от DDOS • В зависимости от сложности используемой технологии – Черная дыра с помощью Remote Triggered BlackHoling (RTBH) • BGP фиктивный маршрут анонсируется • Маршрут в null0 или маршрут для сетевой аналитики • RFC 3882, RFC 5635 (D/RTBH и S/RTBH) • Весь трафик для жертвы дропается (хороший и плохой) • Ущерб ограничен, однако жертва все равно не доступна • Избирательно с помощью BGP FlowSpec – Match L3/L4 Source, Destination, Port, Size, QoS Rate-Limit – RFC 5575 Dissemination of Flow Specification Rules – draft-ietf-idr-flow-spec-v6-06, initially draft-raszuk-idr-flow-spec-v6-01 – Отсев с заворачиванием на инфраструктуру очистки • Централизовано, распределенно, смешанные модели развертывания • Распознавание хорошего и плохого трафика • Только плохой трафик к жертве отбрасывается • Избежание ущерба в случае успешной очистки • AntiDDoS системы высоко интеллектуальны для отражения сложных атак 28 очистка null0
29.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Удаленно активируемая черная дыра (RTBH) Маршрутизация адреса или префикса в “битоприемник” на окраине сети – Ограничивает проникновение зловредного трафика в защищенную сеть и расходование ее ресурсов. – Destination blocking временно блокирует весь трафик до точки назначения до момента остановки атаки – Source blocking блокирует весь трафик от атакующего хоста или подсети на периметре Базовые функции маршрутизации распространяют сигнал блокировки по административным доменам – Возможность задания произвольного next-hop в BGP, Null0 статический маршрут, и Reverse Path Forwarding (RPF) – Активирующее устройство вносит правило в iBGP домен маршрутизации, блокирующие маршрутизаторы отсекают трафик согласно правилу ASA может работать как активатор или блокировщик трафика черной дыры начиная с софта 9.2(1) Правила блокировки Безопасная сеть Offending Traffic 29
30.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public RTBH Trigger on ASA Example PE ip verify unicast source reachable-‐via any interface Null0 no ip unreachables router bgp 65001 neighbor 192.168.1.1 remote-‐as 65001 ip route 192.0.2.1 255.255.255.255 Null0 route-‐map RTBH set ip next-‐hop 192.0.2.1 set origin igp set community no-‐export router bgp 65001 neighbor 192.168.100.1 remote-‐as 65001 redistribute static route-‐map RTBH route Null0 10.1.1.1 255.255.255.255 Create a route map to set the next hop for any matching advertised routes to the “blackhole” IP address Redistribute all static routes using the route map for blackholing 10.1.1.1 Any traffic recursively routed to the blackhole IP address will be dropped “Soft” uRPF ensures that each source IP address has a valid return route 3. Subsequent packets from 10.1.1.1 are dropped at the Provider Edge router Advertise a static route to the attacker using the route-map BGP 1. Establish BGP peering between the ASA and perimeter router with RTBH configuration2. ASA administrator identifies 10.1.1.1 as a malicious host, configures a block rule 30
31.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public DDoS Mitigation – BGP RTBH @Cisco • OER – Optimized Edge Routing • Also known as Performance Routing (PfR) • Immediately install null0 route • Avoid costly ACL and FW rule change • Used with iBGP and uRPF • No additional config involved • Configure a /32 null0 route: 31 route x.x.x.x 255.255.255.255 null0 iBGP peering
32.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Борьба с DDoS с помощью фильтрации 32 Заворот ВозвратОбнаружение Collector Фильтрация VSMAppliance – Обнаружение, идентификация аномального поведения в сети и уведомление оператора. Отсылка SNMP interface polling, IPFIX, sFlow, Netflow v5/v9 (FNF) на Коллектор. – Заворот (offRamp) действие по перенаправлению трафика, направленного жертве на устройство фильтрации. BGP FlowSpec, Policy-Based Routing, Specific Route Injection – Фильтрация действие, производимое устройством очистки, которое отделяет легитимный трафик от атаки и блокирует атаку. Scrubber Appliance или Router Module (ASR9k VSM) – Возврат (onRamp) действие по возврату легитимного трафика в сеть и гарантия его доставки в точку назначения
33.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public DDoS сценарии борьбы 33 Внутренняя сеть Размещение на периметре SP § Распределенные фильтры § Фильтрация трафика входящего в SP § Обслуживание клиентов, ЦОД, SP ISP Внутренняя сеть ISP Внутренняя сеть ISP Централизованное размещение в SP § Локальный и удаленный заворот (GRE) § Централизованная фильтрация HW ресурсами § Обслуживание клиентов, ЦОД, SP Collector Collector Collector Scrubber Scrubbing Center Размещение на границе Enterprise § В точке пиринга § Обслуживание Enterprise клиента § Чистая труба не достижима Может быть всегда включена с постоянным перенаправлением
34.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Партнерство Arbor Networks и Cisco • Peakflow SP (известный как Collector Platform CP) – Собирает записи потоков – Обнаруживает аномальное поведение сети и поднимает тревогу – Может влиять на маршрутизацию, включая BGP маршруты в сеть – Поддерживает BGP FlowSpec как контроллер – Настраивает и мониторит удаленно TMS • Peakflow SP Threat Management System (TMS) – Настраивается CP, получает перенаправленный траффик и производит углубленный анализ пакетов – Отбрасывает пакета атаки и передает легитимные – Предоставляет живое средство мониторинга оператору – Отдельное устройство или модуль в Cisco ASR 9000 VSM 34
35.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Пиринг интернет периметра – Итоги Понимание защиты критической инфраструктуры 35 • Старый добрые лучшие практики сегодня важны как никогда – Целостность физической инфраструктуры, может ли быть гарантирована? – Целостность софта, атаки на ОС платформы продемонстрированы – Защита подсистем контроля, управления, передачи данных • DDoS атаки это основная угроза в Интернет масштабе – Развивайте и развертывайте стратегию защиты от DDOS, говорите с ISP • SP- или Enterprise сторона • Распределенная или централизованная • Черная дыра, отсеивание или фильтрация – Когда идет атака уже слишком поздно быть неподготовленным • Будьте добропорядочным членом Интернет сообщества – Не допускайте ошибке в конфигурации стать массивным хищением префикса – Наша сеть источник DDOS атаки! Enterprises сети могут многому научиться на ошибках провайдеров
36.
Размещение МСЭ и
сегментация 36
37.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Интернет периметр – МСЭ 37 ISP-1 ISP-2 DMZ сети Интернет пиринг Удаленный доступ (VPN) Периметральный МСЭ Внутренняя сеть Основные вопросы: 1. Используется ли отказоустойчивость? – Failover, Etherchannel, Routing, VPN HA 2. Моя сеть правильно сегментирована? – Применение логики уровней безопасности интерфейсов 3. МСЭ проводит фильтрацию с отслеживанием статуса (Statefull inspection): – Эффективное управление IPv4|v6 ACLs 4. Я понимаю мои NAT|PAT правила: – Сложность конфигурации со временем растет МЫ ЗДЕСЬ BRKSEC-2020 Firewall Deployment
38.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Используется отказоустойчивость МСЭ • Предполагается использование ASA в режиме routed single-context Active-Standby Failover паре. Failover это наиболее зрелая HA технология на сегодняшний день: – Stateful субсекундный файловер будет использован – Файловер со статусом интерфейсов и IPSEC шифрованием с 9.1(2) • Отказоустойчивость уровня интерфейса Etherchannel (1G/10G) – Наилучшая отказоустойчивость в стекированных/VSS/vPC топологиях – Подход с “Redundant interfaces” также может быть использован • ASA OSPF FastHello 9.2.(1), NSF Graceful Restart 9.3(1) – Настройте OSPF dead interval выше чем failover unit polltime, иначе OSPF связность отвалится раньше переключения на резер • Важные новшества в ASA 9.3(2) – Interface Zones, включает настоящий мультихоуминг интерфейсов (напоминает IOS ZBFW) – До 8 интерфейсов на Traffic зону – Equal-Cost Multi-Path (ECMP) routing – Включает до 8-ми статических/динамических маршрутов на зону 38 outside2outside1
39.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Применение кластеризации ASA на периметре интернет • Общая стратегия отказоустойчивости ASA следующая: – Привести функциональность кластера к уровню Failover – Применить его как единственный механизм HA со временем – Нет нужды иметь несколько механизмов отказоустойчивости, кластеризация лучше failover по всем аспектам • Ответ ДА кластеризации может быть дан если: – Требуется честный Active/Active HA с производительностью, масштабированием и надежностью – Требуется чисто МСЭ функционал, отсутствуют требования к натированию в больших масштабах – Избегайте централизованных функций как site-to-site VPN, multicast, многие движки инспектирования – Понимать некоторые неподдерживаемые функции, такие как удаленный доступ (RA VPN), advanced MPF protocol inspections, WCCP, BTF и UC Security 39 BRKSEC-3032 Advanced ASA Clustering Deep Dive
40.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public ASA multihoming с интерфейсными зонами безопасности • Маршрутизация в ASA основывалась на логических интерфейсах (named) до версии 9.3(1) – Каждый IP префикс может быть маршрутизирован в один логический интерфейс; – Equal Cost Multi Path (ECMP) поддерживает до 3-х next hops на один логический интерфейс; – Ассиметричная маршрутизация требует открытых ACL и TCP State Bypass; – ASR-groups могут помочь в Active/Active failover, но требуют перенаправления. • Назначайте множественные логические интерфейсы в зону безопасности ASA 9.3(2): – Same-prefix ECMP поддержка до 8 next hops на всех интерфейсах в зоне; – Ответный трафик совпадает с любым соединением из любого интерфейса зоны; – Прозрачный переход на другой исходящий интерфейс в рамках зоны в случае отказа; – Нет поддержки unequal cost load-balancing с помощью EIGRP variance на сегодняшний день. inside outside2outside1 outside1 outside2 inside 1 inside 2 In Zone Out Zone 40
41.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Мой Интернет-периметр сегментирован должным образом • ASA Уровни безопасности интерфейсов (0-100) – Фундаментальный логический алгоритм – Применен ко всем физическим и субинтерфейсам – Далее будут соответствовать NGFW/NGIPS зонам – Inside доверенный с security-‐level 100 – Outside не доверенный с security-‐level 0 – Баланс между сложностью и изоляцией – Создайте множество DMZ security-‐level <1-99> – Организуйте и изолируйте сервера в группы для ограничения распространения возможной угрозы в случае взлома • ASA Security-level логика: – От более доверенным к менее доверенным зонам по умолчанию трафик разрешен – От менее доверенных к более доверенным интерфейсам трафику требуется ACL – По умолчанию no nat-‐control разрешает движение трафика без соответствующего NAT правила. 41 ISP-1 ISP-2 Internet Peering RA VPN Inside Networks outside dmz37 dmz50 dmz75 inside
42.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Мой МСЭ выполняет инспекцию протоколов • ASA это специализированный комплекс для обработки больших ACL – ASA5585-X SSP60 мастабируется до 2M+ ACE – Расширенные и Глобальные унифицированные ACL с объектами используются для правил МСЭ – ACL используют реальные IP адреса в правилах • Долговременная стратегия поддержки ACL: – Комментарии в ACL помогают понять назначение их настройки – Объекты и ASDM/CSM GUI может помочь в настройке – Утилита Packet Tracer utility является крайне полезной • Расширенные ACL выходят за рамки традиционных IP, Портов и ICMP: – Пользователи и Группы (IDFW с CDA и Active Directory) 8.4(2) – DNS FQDN 8.4(2) объекты – TrustSec SGACL с SXP 9.0(1), тегирование в 9.3(1) – Смешивание типов объектов в одной записи ACE - мощная функция • ASA 9.3(2) представляет функцию ACL Config Session: – Транзакции с подтверждением 9.1(5) – Свободное изменение настроек в рамках сессии транзакции – Перекрестные ссылки позволяют менять использованные объекты 42 object-‐group user asausers user CISCOgmikolaj user-‐group CISCOgroup.chambers access-‐list IDFW_ACL extended permit ip object-‐group-‐user asausers any any access-‐group IDFW_ACL global Пользователь и группа с Identity объектной группой IDFW Глобальный ACL Основанный на FQDN расширенный интерфейсный ACL object network sarmatia fqdn warsaw.emea.cisco.com object network google fqdn www.google.com object-‐group network search-‐engine-‐group network-‐object google access-‐list FQDN_ACL extended permit tcp object sarmatia object-‐ group search-‐engine-‐group eq 443 access-‐group FQDN_ACL in interface dmz44 object-‐group security objgrp-‐sg-‐hr-‐mgrs security-‐group tag 1 object-‐group security objgrp-‐sg-‐hr-‐network security-‐group tag 2 access-‐list HR_ACL permit ip object-‐group-‐security objgrp-‐sg-‐hr-‐ mgrs any object-‐group-‐security objgrp-‐sg-‐hr-‐network Основанный на SGT TrustSec SGACL
43.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public • МСЭ может стать узким горлом если неправильно подобран по производительности – МСЭ не является заменой anti-DDOS решению. • Понимайте свои ACL: – Документируйте правила МСЭ – Производите регулярные аудиты правил – Правила с нулевыми совпадениями • Зачем они здесь? • Тяжелее перейти на новое оборудование, неся за собой сотни ненужных правил • Потенциал создания дыр в будущем из-за боязни удалить правила – Правила выхода изнутри наружу более лояльные чем требуется • Мертвые порты/протоколы не используемые бизнесом – Правила, настроенные не в том месте • Пользуйтесь STATELESS правилами на маршрутизаторе периметра • Переходите от грубой фильтрации к тонкой – Сегментация выполнена неверно • Открытие всех стандартных портов делает контроль неэффективным – Используйте утилиты управления с умом для поддержания ACL в приемлемом масштабе 43 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 Лучшие практики фильтрации с отслеживанием статуса
44.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Я понимаю мои NAT | PAT правила 44 • ASA nat-‐control механизм по умолчанию выключен – Фундаментален для понимания натирования – На текущий момент не используется – При включении потребуется NAT правило для любого соединения – Пакет не подпадающий под NAT правило будет отброшен • Обработка правил NAT идет сверху вниз, как и ACLs (Rule ID) – Manual NAT (Twice NAT) оценивается в первую очередь, в порядке очередности • Source и destination NAT в одной строке • Двусторонняя трансляция • One-to-one, one-to-many, many-to-many и many-to-one – Automatic NAT (Auto NAT или Object-based) обрабатывается следующим • Одно правило на объект, когда Manual NAT не требуется – Auto NAT порядок приоритета: • Статические правила идут до динамических • Малые объекты (хосты) в приоритете перед большими (сети) • Меньшие по значению префиксы (начиная с первого IP октета) • Наименьшие имена объектов в алфавитном порядке – After-Auto Twice NAT Оценивается последним • Избегайте где возможно object network STATIC_MAPPING range 198.51.100.50 198.51.100.60 object network INSIDE_SERVERS range 192.168.1.35 192.168.1.45 nat (inside,outside) static STATIC_MAPPING Static Object-based NAT object network INSIDE_WEB_SERVER host 192.168.1.55 nat (inside,outside) static 198.51.100.75 service tcp 80 8080 Static Object-based PAT object network INSIDE_NETWORK subnet 192.168.0.0 255.255.0.0 nat (inside,outside) dynamic NAT_POOL interface Dynamic Object-based PAT object network myInsideNetwork subnet 10.1.2.0 255.255.255.0 object network DMZnetwork1 subnet 209.165.201.0 255.255.255.224 object network PATaddress1 host 209.165.202.129 nat (inside,dmz) source dynamic myInsideNetwork PATaddress1 destination static DMZnetwork1 DMZnetwork1 Twice (Manual) NAT with Dynamic Source PAT
45.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public ASA версия 9.3 Более сорока новых функций в новых версиях 9.3(1) и 9.3(2)! Наиболее важные для Интернет периметра: • Сессиии конфигурации с транзакционным подтверждением ACL и перекрестными ссылками; • Интерфейсные Traffic Zones, ассиметричная маршрутизация и резервные маршруты; • Equal-Cost Multi-Path (ECMP) до 8-ми next-hops среди интерфейсов в одной зоне; • BGP и OSPF Non-Stop Forwarding (NSF); • Количество Bridge-Group в прозрачном режиме увеличилось с 8 до 250 на контекст; • ASA Image Signing and Verification; • TrustSec L2 поддержка INLINE SGT; • ASA RESTful API 1.0 для конфигурации и управления. Новые функции и улучшения 45
46.
Повышение видимости и
контроля с NGFW 46
47.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Интернет периметр – Next-Generation Firewalls 47 ISP-1 ISP-2 DMZ Сети Интернет пиринг Удаленный доступ (VPN) Периметральный МСЭ Внутренняя сеть МЫ ЗДЕСЬ BRKSEC-2028 Deploying Next-Generation Firewall with ASA and FirePOWER Services Основные вопросы: 1. Я контролирую нужный трафик: – NGFW установка в сети и перенаправление потоков 2. Мой NGFW больше чем просто игрушка: – Использование уровня риска приложений и релевантности 3. Контекст это намного больше чем маркетинг: – Знание пользователя и атрибутов 4. Я уменьшаю область возможной атаки: – Применение NGFW политик доступа
48.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Я контролирую нужный трафик с NGFW • Перенаправление трафика на NGFW HW/SW модуль достигается ASA MPF Service Policies • Может заворачиваться по interface, source / destination, protocol ports и ASA пользователям • В Multi-context Mode, разные ASA FirePOWER политики могут назначаться каждому контексту • Fail-open и Fail-closed сценарии отказа • Пассивный режим monitor-only, на модуль посылается копия трафика. Применимо для демо и развертываний в режиме IDS с функциями NGIPS. • Перенаправление всего трафика на inline NGFW инспектирование 48 policy-‐map global_policy class class-‐default sfr fail-‐open service-‐policy global_policy global FirePOWER NGFW Module ASA Firewall Conforming traffic Неразрешенный траффик Inline NGFW Развертывание Пассивный мониторинг (Demo/PoC/IDS)
49.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public ASA FirePOWER Services путь пакета FPS Receive PKT Ingress Interface Existing Conn ACL Permit Match Xlate Inspections sec checks NAT IP Header Egress Interface L3 Route L2 Addr XMIT PKT ОТБРОСИТЬ ОТБРОСИТЬ 7 8 9 10 11 НЕТ ДА ОТБРОСИТЬ ОТБРОСИТЬ НЕТ ДА ОТБРОСИТЬ НЕТ НЕТ НЕТ НЕТ ДА ДА 321 4 5 6 ДА FirePOWER NGFW модуль ASA МСЭ • ASA модуль обрабатывает все входящие пакеты по ACL, Таблице соединений, Нормализации и NAT до отправки трафика на FirePOWER Services модуль (HW модуль на ASA 5585-X, SW на 5500-X).
50.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public ASA FirePOWER Функциональное описание IP Фрагментация IP инспекция опций TCP Перехват TCP Нормализация ACL NАТ VPN шлюз Маршрутизация Фильтрация Ботнет Трафика Защита от вредоносного ПО Фильтрация файлов по типуВидимость и контроль приложений NGIPS URL категории/репутация Захват файлов ASA МСЭ FirePOWER NGFW модуль
51.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Мой NGFW это больше чем игрушка • Исследование процесса пассивного обнаружения и обследования с помощью Context Explorer: OS and Traffic by IP and User 51 • Понимание трафика хостов по Risk, Intrusion Events, Business Relevance and Web Application
52.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public NGFW риски приложений и релевантность • Понимание используемых приложений в FireSIGHT Application Dashboard 52 • Понимание приложений по уровню риска и бизнес релевантности на интернет периметре Риск приложений – вероятность того что приложение может нарушать Вашу политику безопасности. Измеряется от очень низкого до очень высокого. • Peer-to-peer приложения имеют очень высокий риск. Бизнес релевантность – вероятность того что приложение используется для бизнес целей, а не отдыха. Измеряется от очень низкого до очень высокого. • Приложения для игр имеют очень низкую релевантность бизнесу
53.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Знание контекста – много больше чем маркетинг • Видимость активности пользователей 53 • Мы обсудим необходимость контекста глубже чуть дальше в данной сессии • Изучение статистики по пользователям • Уникальные пользователи по времени • Траффик по пользователям • Разрешенные соединения по пользователям • Запрещенные соединения по пользователям
54.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Я уменьшаю площадь атаки с политикой доступа 54 Интерактивно блокировать Специфические протоколы приложений в DMZ финансовых служб Разрешить приложения низкого риска от пользователей в Интернет Разрешить протоколы Удаленного управление на DMZ сервисы Блокировать протоколы приложений VPN/Tunnel, Анонимайзеры от пользовательских групп Запретить Приложения с высоким риском от пользовательских групп
55.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 55 Интернет Периметр NGFW – Итоги • Требуется интегрированный NGFW и быстрый сетевой МСЭ на Интернет периметре с производительностью от 100 Мбит/c до 15 гигабит/c инспекции трафика? – ASA FirePOWER Services с 5500-X, 5585-X сериями - наилучший выбор; – Все ASA функции вплоть до 9.3(2) поддерживаются, надежные функции сетевого МСЭ; – Single и multi-context режим, маршрутизируемый и прозрачный режимы; – Может служить как интегрированное IPSEC/VPN головное устройство в проектах – Все функции версии 5.4 FirePOWER NGFW за исключением расшифровки SSL (запланировано в 6.0) • Требуется отдельный целевой NGFW с производительностью до 120 гигабит/c инспектируемого трафика? – FirePOWER Appliances установленные сразу после периметрального МСЭ; – Различные варианты форм-факторов и моделей, конфигураций интерфейсов с производительностью от 50 мегабит/с до 120 гигабит/c; – Все функции версии 5.4 FirePOWER включая расшифровку SSL. • FireSIGHT Management Center обязательный компонент для обоих случаев. Выбираем нужную технологию
56.
Поиск иголки в
стоге сена с NGIPS защитой от угроз
57.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 57 Периметральная система защиты от вторжений нового поколения Основные вопросы: 1. Знаю ли я масштаб угрозы? – Процесс обнаружения и изучения хостов 2. Защищен ли я от актуальных угроз? – Тюнинг NGIPS для покрытия угроз 3. Я могу сфокусироваться на важном: – Использование уровней воздействия 4. Когда происходит вторжение я об этом знаю: – Индикаторы компрометации (IoC) ISP-1 ISP-2 Интернет Пиринг Удаленный доступ (VPN) Периметральный МСЭ Внутренняя сеть МЫ ЗДЕСЬ DMZ Networks BRKSEC-2762 The FirePOWER Platform and Next-Generation Network Security
58.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Я знаю масштаб моих угроз NGIPS с FireSIGHT Management Center постоянно строит и обновляет базу знаний хостовых профилей за счет пассивного мониторинга. База хостовых профилей включает: – IP Address, MAC, Hostname, NetBIOS name – Device (Hops), Host Type, Last Seen – Current User, User History – Operating System Vendor/Product/Version – Client Protocol, Version, Application – Server Vendor, Version, Protocol, Port, Application – Web Applications, Version, Content – White List Violations, Type, Reason, White List – Malware Detections, Time, Threat, File Name, File Type – Mapped Vulnerabilities, Name, Remote, Port 58 ISP-1 ISP-2 Интернет Пиринг Удаленный доступ Периметральный МСЭ Внутренняя сеть BRKSEC-3034 Advanced Sourcefire Network Security Analytics: Finding the needle in the haystack
59.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Работа с хостовыми профилями (1/3) Понимание Host OS отчета и Таблицы хостов, применение эластичного поиска. 59
60.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Работа с хостовыми профилями (2/3) Анализ отдельных машин в Host Profile 60 • Базовая информация о хосте: IP Address, NetBIOS Name, Hops from NGIPS, MAC Address, Host Type, Last Seen, Current User • Индикаторы компрометации(IoC) • Обнаруженная ОС (OS) • Обнаруженные серверные приложения на хосте • Обнаруженные приложения • Последние 24 часа пользовательской активности
61.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Работа с хостовыми профилями (3/3) Анализ отдельных машин в Host Profile (продолжение) 61 • Аттрибуты хоста, критичность используется в правилах корреляции • Обнаруженные протоколы • Нарушения белого списка. Специальный тип корреляционного события, показывающий нарушения в операционной системе, протоколах приложений, веб приложениях и протоколах разрешенных к запуску в подсети. • Уязвимости, данная секция перечисляет уязвимости, основываясь на ОС, серверных сервисах и приложениях обнаруженных на хосте. – Если Вы импортируете уязвимости из QualysGuard сканера, хостовые профили включат в себя найденные уязвимости.
62.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Я защищен от актуальных угроз FireSIGHT даёт рекомендации для настройки политики предотвращения вторжений • Вы можете выбрать разрешить ли системе изменить сигнатурный набор в соответствии с рекомендациями. Система добавит сигнатурный уровень правил, доступный только для чтения - FireSIGHT Recommendations layer. Рекомендации - какие сигнатуры NGIPS должны быть включены или выключены в сигнатурном наборе, основываясь на информации из карты сети
63.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Сфокусируйтесь на главном с флагами воздействия 63 Флаг воздействия Действия администратора Зачем? Действуйте мгновенно, уязвимо Событие соответствует уязвимости обнаруженной на хосте Расследуйте, Потенциально уязвимо Релевантный порт открыт или протокол используется, но нет информации об уязвимости Для информации, На данный момент не уязвимо Релевантный порт не используется или протокол не используется Для информации, Неизвестная мишень Сеть мониторится, но хост неизвестен Для информации, Неизвестная сеть Сеть не мониторится 1 2 3 4 0 • Для каждого события NGIPS, FireSIGHT добавляет иконку воздействия • Цвет показывает корреляцию между данными NGIPS, данными обследования сети и информацией об уязвимостях. • Расследование NGIPS событий вторжений в FireSIGHT Security Analysis Dashboard
64.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 64 Когда происходит взлом я об этом узнаю Система NGIPS коррелирует различные типы событий для обнаружения вероятно взломанных хостов в сети мониторинга: – События вторжений – Security Intelligence – События соединений – Файловые события – События обнаружения вредоносного ПО Хосты с помеченным активным флагом IoC отображаются в колонке IP Address в виде compromised host иконки вместо иконки нормального хоста Хост может вызвать множественное срабатывание IoC тегов. Вы можете пометить хост как IoC resolved, что удалит тег IoC с хоста. Секция хостового профиля The Indications of Compromise показывает все IoC теги для хоста. IoC Taxonomy https://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/ Indicator of Compromise (IoC) „in computer forensics is an artifact observed on a network or in operating system that with high confidence indicates a computer intrusion”
65.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 65 Работа с IoC в FireSIGHT – пример CnC (1/2) • Сильно пораженная сеть с многочисленными IoC видимыми в Context Explorer • Углубимся и исследуем CnC Security Intelligence IoC события • IoC итоговая таблица в меню Хостов
66.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 66 Работа с IoC в FireSIGHT – пример CnC (2/2) • Обследуем подозрительный хостовый профиль • Расследуем первое увиденное соединение CnC • Далее задействуем AMP Network, хостовую траекторию и аналитику сетевых данных (решение CTD) для поиска событий malware и потоков для указанных хостов/пользователей
67.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Добиваемся высокого уровня безопасности с NGIPS • NGIPS это устройство с глубоким отслеживанием статуса – CPU-интенсивная природа IPS может создать отказ в обслуживании при отсутствии должной настройки и позиционировании – Соответствие производительности – Нужно выбирать соответствующую платформу – Маркетинг против реальной производительности с полным покрытием и защитой от угроз • Проблемы, связанные с размещением NGIPS: – Размещение снаружи МСЭ приведет к большому количеству “шума” вместо полезных событий – Понимание потоков трафика, Критичные ресурсы идентифицированы и защищены • Общие для NGIPS трудности эксплуатации: – Немногие организации имеют 24x7 NOC/SOC в режиме активного мониторинга; – Редкие организации подстраивают политики, приводит к большому количеству “шума” и FP; – Редкие организации имеют экспертизу для реакции на инцидент и его расследования, мониторинг иногда лучше отдать в аутсорс; – Жизнь с “шумом” и реактивное использование IPS, смерти подобно! 67 BRKSEC-3126 Advanced Configuration and Tuning of FirePOWER Services for ASA Modules and FirePOWER Appliances
68.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public FirePOWER | FireSIGHT ПО версии 5.4 • Инспектирование ранее не испектированного: – Интегрированная расшифровка SSL на FirePOWER Appliances; – Пре-процессор по типам файлов; – поддержка декомпрессии Adobe SWF/Flash PDF; • Упрощенное и улучшенное обнаружение: – Unicode поддержка в именах файлов; – Геолокация и Security Intelligence в правилах корреляции; – Protected Rule в правилах сигнатур. • Гибкость платформ и пропускная способность – LACP агрегация каналов; – Поддержка Vmware Tools в FireSIGHT; – 10Gbps виртуальные интерфейсы; – Многочисленные интерфейсы управления. Новые NGFW и NGIPS функции и улучшения 68
69.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Next-Generation Intrusion Prevention @Cisco • 350+ Cisco IPS сенсоров развернуто сегодня (4200 семейство) • 1.5M alarm в день • Миграция в процессе, под капотом: – FirePOWER Appliances – Network AMP Everywhere – TALOS Threat Intelligence – Contextual Analysis – Throughput and Capacity – API Integration 69
70.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 70 Интернет Периметр NGIPS – Итоги • Требуется интегрированный NGIPS и быстрый сетевой МСЭ на Интернет Периметре с производительностью до 10 гигабит/c инспекции трафика? – ASA FirePOWER Services с 5500-X, 5585-X сериями - наилучший выбор; – Все ASA функции вплоть до 9.3(2) поддерживаются, надежные функции сетевого МСЭ; – Single и multi-context режим, маршрутизируемый и прозрачный режимы; – Может служить как интегрированное IPSEC/VPN устройство в проектах; – Все функции версии 5.4 FirePOWER за исключением расшифровки SSL. • Требуется отдельный целевой NGIPS с производительностью до 60 гигабит/c инспектируемого трафика? – FirePOWER Appliances, установленные сразу после периметрального МСЭ, и возможность использовать SPAN; – Различные варианты форм-факторов и моделей, конфигураций интерфейсов с производительностью от 50 мегабит/c до 60 гигабит/c; – Все функции версии 5.4 FirePOWER, включая расшифровку SSL. • FireSIGHT Management Center обязательная компонента для обоих случаев. Выбираем нужную технологию
71.
WEB безопасность и
контентная фильтрация 71
72.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 72 Интернет Периметр Веб безопасность Основные вопросы: 1. У меня есть Политика доступа в Интернет: – Пользователи знают ее и подписались под ней 2. Все пользователи четко идентифицированы: – Используем знание контекста 3. Я защищен от угроз: – Множественные уровни защиты 4. Гостям дается на подпись политика пользования: – WiFi дизайн в DMZ с веб-фильтрацией. ISP-1 ISP-2 DMZ Networks Интернет пиринг Удаленный доступ (VPN) Периметральный МСЭ Внутренняя сеть TALOS
73.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Опции контентной WEB фильтрации: NGFW • ASA FirePOWER сервис NGFW – ASA 5500-X (SW) и 5585-X (HW модули) – ASA уже интегрирована на периметре – Трафик должен маршрутизироваться через NGFW • Альтернатива, ASA работает как VPN агрегатор – Дополнительная функциональность в NGFW развертывании – URL Фильтрация в политиках доступа • Категоризация и черные/белые списки • URL репутация – Видимость приложений (NAVL Engine) • Детальная видимость приложений шире чем HTTP/HTTPS – Геолокационные опции (GeoDB) – Пассивная идентификация пользователей с помощью SFUA AD коннектора – Расшифровка SSL на ASA недоступно сейчас – Требуется FireSIGHT Management Center 73 ISP-1 ISP-2 DMZ Networks Internet Peering RA VPN Edge FW Inside Networks МЫ ЗДЕСЬ
74.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public У меня есть политика доступа в Интернет А пользователи о ней знают? 74 • Контроль приложений по: – Риску – Бизнес релевантности, – Типу – Категории – Тэгу – Пользовательским критериям • Контроль URL по: – Категории (80+) – Репутация – Ручные URL объекты
75.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Контентная фильтрация с FirePOWER (1/2) Логируем URL с Высоким Риском для целей ИБ 75 Логировать Приложения с Высоким Риском для целей ИБ Блокировать Не относящийся к работе контент Блокировать Заблокированных пользователей
76.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 76 Контентная фильтрация с FirePOWER (2/2) Блокировать Запрещенные Приложения Контроль за Провокационными URL категориями Защитить финансовую группу от Высокого Риска Заблокировать работу с Социальными Сетями
77.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 77 Опция контентной WEB фильтрации: Web Proxy ISP-1 ISP-2 DMZ сети Интернет пиринг Удаленный доступ VPN Периметральный МСЭ Внутренние сети МЫ ЗДЕСЬ • Web Security Appliance (WSA) – Специализированная ОС AsyncOS Физический/ Виртуальный шлюз; – Явный или прозрачный прокси, опции отказоустойчивости; – HTTP, HTTPS, SOCKS, FTP, FTP через HTTP; – Фильтрация URL категорий; – Улучшенный контроль за Web приложениями; – Временные квоты и квоты объема, ограничение полосы стриминговых сервисов (YouTube и т.д.); – Web репутация (WBRS); – Множество антивирусных движков на платформе (AV); – Улучшенная защита от Malware (AMP); – Интеграция внешнего DLP движка с ICAP; – Пассивная идентификация (TUI) с CDA и ISE; – SSO прозрачная идентификация (NTLM, Kerberos); – Интеграция AnyConnect Secure Mobility; – Расшифровка HTTPS доступна средствами шлюза; – Управление на шлюзе или централизованное через SMA.
78.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 78 Развертывание явного прокси с WSA Явный означает что клиенту он должен быть указан явно: • Настройки прокси в браузере (IP/port) • PAC файл – Через AD и GPO; – Скриптом или вручную; – DHCP опция 252; – WPAD сервер. Задание явного прокси: 1. Клиент обращается к ВЕБ сайту; 2. Браузер соединяется с WSA; 3. DNS разрешение выполняется на WSA – A или AAAA запись возвращается (IPv4|v6); 4. МСЭ разрешает с WSA только ВЕБ трафик; 5. WSA соединяется к запрашиваемому сайту. . ISP-1 ISP-2 DMZ Networks Internet Peering RA VPN Edge FW Inside Networks WSA DNS
79.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 79 Развертывание прозрачного прокси с WSA WCCPv2 между сетевым устройством и WSA: – Может быть развернут как L2, так и L3 (GRE); – Направление по ХЭШУ (SW) или маске (HW); – Входящее или исходящее перенаправление; – Балансировка нагрузки и отказоустойчивость, сервис-группы. Работа прозрачного прокси: 1. Разрешение DNS производится клиентом – A или AAAA запись возвращается (IPv4|v6); 2. Клиент запрашивает ВЕБ сайт; 3. Браузер пытается с сайтом соединиться; 4. Сетевое устройство пересылает трафик на WSA используя WCCP, WSA подменяет SYN/ACK в сторону клиента – Сетевое устройство может быть: Роутер, МСЭ, коммутатор; 5. WSA проксирует запрос; 6. WSA инспектирует контент и возвращает клиенту. ISP-1 ISP-2 DMZ Сети Интернет пиринг Удаленный доступ VPN Периметральный МСЭ Внутренние сети WSA DNS
80.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 80 Прозрачный прокси, важные особенности Что надо знать при развертывании ASA с WSA: – ASA разрешает только redirect in; – Один WSA не может одновременно обслужить inside и DMZ зоны; – Интерфейсные ACL проверяются до перенаправления трафика по WCCP; – Можно использовать permit и deny внутри ACL перенаправления; – Метод перенаправления основан на GRE. В данной секции мы будем использовать коммутатор уровня агрегации cat6k/sup2T как WCCP устройство – Входящий L2 с маской – рекомендовано ( обработка в железе); – Входящий L3 GRE с маской – рекомендовано (обработка в железе); Для большего масштабирования используйте внешние балансировщики с привязкой сессий для фермы vWSA. ISP-1 ISP-2 DMZ Сети Интернет пиринг Удаленный доступ (VPN) Периметральный МСЭ Внутренние сети WSA DNS BRKSEC-3772 Advanced Web Security Deployment with WSA in IPv4 & IPv6 Networks
81.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Высокая безопасность с использованием WSA Web Security Appliance предлагает глубокую многоуровневую защиту • Web Reputation Scoring (WBRS) фундаментальный механизм • Применение Web Usage Controls (WUC) – URL фильтрация по категориям (URL) и SafeSearch – Рекомендовано иметь Dynamic Content Analysis (DCA) включенным для лучших результатов. • Используйте Layer 4 Traffic Monitor (L4TM) для видения угроз • Применяйте AUP с детальной видимостью приложений и их контролем (AVC) – Контроль микроприложений, контроль полосы пропускания временные и квоты по объему • Используйте политики HTTPS раскрытия где возможно • Используйте системы борьбы с Malware основанные на сигнатурах (AV/AM) – Sophos, McAfee, Webroot. Адаптивный сканер выбирает наилучший движок для сканирования • ИспользуйтеAdvanced Malware Protection (AMP) – Файловая репутация, Песочница и ретроспективный анализ 81 TECSEC-2909 Web Security Best Practices Techtorial
82.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Web Security Appliance AsyncOS 8.5 • Advanced Malware Protection (AMP) – Фаза 2 – Возможность отправлять в песочницу PDF и Microsoft Office файлы – В дополнение к EXE файлам, поддерживаемым с Фазы 1. • Отказоустойчивость с файловерными группами CARP • Квоты по времени и объему данных – Основанные на количестве переданных данных(в байтах) и/или времени – Применимо к HTTP, HTTPS и FTP траффику – Настраиваемые уведомления пользователей (EUN) при приближении к границе квоты / превышении – Настраивается в Политиках доступа и Decryption политиках • Виртуальный SMA (Security Management Appliance) на ESXi 5.0, 5.1, 5.5 • ISE интеграция (Early preview). Новые функции и улучшения 82
83.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Облачный прокси обзор: ASA CWS ASA коннектор (9.0 софт): – Доступен на ASA 5500, 5500-X, 5585-X – Прозрачное развертывание на Интернет периметре – Поддержка Одно/Много контекстного режима ASA – HTTP и HTTPS траффик – Локальные белые списки для траффика • Полезно для ОС, апдейтов ПО, AV/AS сигнатур – Автоматический файловер на резервный Tower – Не требуется установки выделенного HW или софта – Нет изменений в браузерах клиентов – Прозрачная идентификацию пользователей через CDA и IDFW – AAA Правила пользовательской идентификации – ASA вставляет в CWS заголовки пользователей и группы • X-‐Scansafe отбрасываются CWS tower – Расширяется до 7.5K пользователей за ASA 83 ISP-1 ISP-2 DMZ Networks Internet Peering RA VPN Edge FW Inside Networks http://www.cisco.com/c/dam/en/us/td/docs/security/web_security/scancenter/deployment/guide/cws_dg_asa-asav_101714.pdf
84.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public WSA внутри сети Cisco • Защита всей сети Cisco включая: – Хосты и мобильные устройства – Удаленный доступ VPN – Внутренние лаборатории – DMZ Лаборатории – ЦОД • Режим развертывания: – WCCPv2 перенаправление – Магистральные DMZ шлюзы – Отказоустойчивые пары на шлюз – Обычные веб порты – Репутационный анализ (WBRS) 84
85.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Malware блокируется за Один День: • 441K – Trojan Horse • 61K - Other Malware • 29K - Encrypted Files (monitored) • 16.4K - Adware Messages • 1K – Trojan Downloaders • 55 - Phishing URLs • 22 - Commercial System Monitors • 5 - Worms • 3 - Dialers Cisco статистика WEB : • HTTP это 25% трафика + SSL 6% • 12.5 TB в/из за день • 330-360M веб запросов в день • 6-7M (2%) заблокировано WSA Блокированные запросы: • 6.5M+ Malware sites blocked/day • 93.5% - Web Reputation • 4.5% - URL Category • 2% - Anti-Malware WSA внутри сети Cisco 85
86.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public 86 Интернет периметр безопасность WEB – Итоги Зависит от цели, некоторые решения подходят больше: • Локальное средство специализированное на контроль HTTP/HTTPS – Web Security Appliance специализированный комплекс WEB аналитики и контроля • Требуется интегрированное средство с более чем только HTTP/HTTPS – ASA FirePOWER или выделенный отдельный FirePOWER appliance позади периметральной ASA для блокирования и контроля всех портов/протоколов • Удаленная рабочая сила, мобильные пользователи – Cloud Web Security (CWS) для целостной безопасности вне офиса Подбор нужной технологии
87.
Работа с мобильными
пользователями 87
88.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Мобильные пользователи и ландшафт безопасности • Выбор технологии VPN – L2L IPSec FlexVPN • Удаленные офисы IOS Routers • Домашний офис – CVO (Cisco Virtual Office) – AnyConnect удаленный доступ VPN • Ноутбуки, PCs • Смартфоны, Планшеты, BYOD – Безклиентный SSL VPN • Браузерный удаленный доступ • Доступ к порталу откуда угодно • VPN шаблоны защиты трафика – Экономия полосы vs Защита • Site-to-site (L2L) – Централизованный выход в интернет – Прямой выход в интернет филиалов(DIA) • Мобильный удаленный доступ (RA) – Полное туннелированние • Централизовано NGFW и WSA – Сплит-Туннель • Централизованое NGFW • Облачное CWS – Без туннеля • Облачное CWS 88 BRKSEC-3033 Advanced AnyConnect Deployment and Troubleshooting with ASA BRKSEC-3053 Advanced Practical PKI for Remote Access VPN BRKSEC-2881 VPN Remote Access with IOS & Introduction to FlexVPN
89.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Заворот VPN трафика на NGFW • ASA с FirePOWER Services служит как Remote-Access VPN Headend • Многоуровневая зашита трафика: – FW ACLs, NGFW, Web Security, NGIPS, AMP – Нет SSL инспекции на сегодняшний день • AnyConnect 4.0 VPN Client – IPSec IKEv2 или SSL VPN (DTLS-based) • Весь траффик туннелируется в центр, нет сплит-туннеля – Можно повысить целостность опцией Всегда-Работающего туннеля (Always-On) – Включение до логина (SBL) применяется по необходимости • ISE может служить централизованным движком политик – Применяйте политики авторизации (VLAN, ACL) – TrustSec SGT Применение для удаленных пользователей • ASA 9.2 вместе с ISE 1.3 – Интеграция оценки состояния в ASA, поддержка RADIUS CoA • AnyConnect 4.0 унифицированный NAC (Posture) Агент 89 ISP-1 ISP-2 DMZ Сети Интернет пиринг Удаленный доступ (VPN) Периметральный МСЭ Внутренние сети МЫ ЗДЕСЬ ISE AD
90.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Заворот VPN трафика на WSA • ASA c FirePOWER Services служит как VPN шлюз – Видимость приложений, NGIPS и AMP сервисы – Защита шире чем нежели только WEB на WSA • WSA предоставляет сервисы WEB безопасности – Все сервисы WEB безопасности, описанные выше – Прозрачный или явный вид размещения – WCCPv2 выполняется на ASA или L3 коммутаторе – Доступно раскрытие HTTPS – Advanced Malware Protection (AMP) встроено • Известно как модель развертывания AnyConnect Secure Mobility MUS (Mobile User Security) – Предоставляет честный SSO для удаленных пользователей – ASA передает VPN идентификацию пользователя на WSA – WSA не требуется производить аутентификацию дополнительно 90 ISP-1 ISP-2 DMZ Сети Интернет пиринг Удаленный доступ VPN Периметральный МСЭ Внутрненние сети МЫ ЗДЕСЬ http://www.cisco.com/c/dam/en/us/td/docs/security/wsa/wsa7-0/user_guide/AnyConnect_Secure_Mobility_SolutionGuide.pdf AD
91.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public CWS Облачная WEB безопасность • ASA с FirePOWER Services служит как VPN шлюз – Видимость приложений, NGIPS и AMP сервисы – Защита больше чем просто только WEB предоставляется CWS (+ приложения +SSL) – Web траффик к CWS идет в сплит-туннель, не через VPN • CWS как часть централизованной Web безопасности – Облачный WEB-прокси – Outbreak Intelligence и Сигнатурный анализ – AMP Cognitive Threat Analytics (CTA) – Раскрытие HTTPS поддерживается – Географическая отказоустойчивость • AnyConnect Web Security модуль предоставляет перенаправление трафика в CWS – Защита с выключенным или включенным VPN – Поддерживается на Windows, MacOSX – AnyConnect Редактор профиля 91 ISP-1 ISP-2 DMZ Сети Интернет пиринг Удаленный доступ (VPN) Периметральный МСЭ Внутренние сети CWS http://www.cisco.com/c/dam/en/us/td/docs/security/web_security/scancenter/deployment/guide/cws_dg_anyconnect_101714.pdf
92.
© 2015 Cisco
and/or its affiliates. All rights reserved.BRKSEC-2134 Cisco Public Cloud Web Security для удаленных пользователей в Cisco • Пользователи вне VPN сети – AnyConnect Web Security Module – Cloud Web Security (CWS) – Перенаправление на ближайший CWS Tower • Эффективность решения – 1% всего исходящего трафика блокируется – Более 80,000 объектов в день • Обнаруживаемые вторжения ежедневно – Трояны, Шпионское ПО – Недавно зарегистрированные, неизвестные домены • Видимость – Ретроспективный анализ AMP и отчетность CTA 92 BRKSEC-2909 In search of the Silver Bullet for protection against web-based malware using Cloud Web Security
Jetzt herunterladen